แฮกเกอร์ทำให้โปรแกรมป้องกันไวรัสของคุณไม่ตรวจจับมัลแวร์ได้อย่างไร

สิงหาคม 17, 2022 แมตต์มิลส์ เคล็ดลับและ 0

ระบบปฏิบัติการและแอนตี้ไวรัสมีความแม่นยำมากขึ้นเมื่อต้องตรวจจับภัยคุกคามทุกประเภท ด้วยเหตุนี้จึงเป็นเรื่องยากมากขึ้นสำหรับแฮกเกอร์ที่จะหลบเลี่ยงระบบรักษาความปลอดภัยเหล่านี้ และพวกเขาต้องแสวงหาเทคนิคที่ซับซ้อนมากขึ้นเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยเหล่านี้ เป็นเช่นนี้มาระยะหนึ่งแล้ว เซ็นรหัส ด้วยใบรับรองดิจิทัลที่จัดการข้ามมาตรการเหล่านี้ทั้งหมดและซับซ้อนกว่าในการตรวจจับมาก นี่คือการทำงานของเทคนิคการเซ็นชื่อมัลแวร์ที่เป็นอันตราย

รหัสเซ็นชื่อเป็นเทคนิคที่ถูกต้องตามกฎหมายที่นักพัฒนาใช้มาเป็นเวลานาน ในการทำเช่นนี้ พวกเขาใช้ใบรับรองดิจิทัลที่ออกโดยหน่วยงานรับรองที่เชื่อถือได้ เพื่อให้ทั้งผู้ใช้และโปรแกรมป้องกันไวรัสและระบบปฏิบัติการสามารถรู้ว่ารหัสนี้เป็นของแท้และยังไม่ได้แก้ไข

แฮกเกอร์ทำให้โปรแกรมป้องกันไวรัสของคุณไม่ตรวจจับมัลแวร์ได้อย่างไร

ในขั้นต้น เฉพาะนักพัฒนาที่รับรองความถูกต้องโดย CA เท่านั้นที่สามารถลงนามรหัสด้วยใบรับรองดิจิทัลของตนเองได้ และด้วยการใช้เทคนิคการเข้ารหัสขั้นสูง ใบรับรองเหล่านี้ไม่สามารถปลอมแปลงหรือลอกแบบได้ อย่างไรก็ตาม แฮกเกอร์ได้ค้นพบวิธีการดังกล่าวแล้ว

มัลแวร์ถูกเซ็นชื่อด้วยใบรับรองดั้งเดิมอย่างไร

โดยทั่วไป เพื่อรับรองว่านักพัฒนาซอฟต์แวร์ถูกต้องตามกฎหมายและเป็นของบริษัทจริงๆ หน่วยงานออกใบรับรองมีข้อกำหนดที่ค่อนข้างสูง อย่างไรก็ตาม แฮกเกอร์สามารถ บิดเบือนข้อกำหนดเหล่านี้ เพื่อแอบอ้างเป็นองค์กรที่ถูกต้องตามกฎหมายและรับใบรับรองเพื่อลงนามในชิ้นส่วนของมัลแวร์ นอกจากนี้ยังเป็นไปได้สำหรับ แฮกเกอร์เจาะเข้าบริษัทและขโมยใบรับรอง . หากสิ่งนี้ถูกต้อง ก็มีราคาสูงมากในตลาดมืด

โปรแกรมดิจิตอล Firma

เมื่อแฮกเกอร์เซ็นรหัสแล้ว Windows และมาตรการรักษาความปลอดภัยของแอนติไวรัสก็พ่ายแพ้เกือบทุกครั้ง เมื่อเรารันมัน ระบบจะเชื่อถือโค้ดนี้โดยค่าเริ่มต้น และสุดท้ายก็ทำให้ระบบติดไวรัสโดยที่ไม่มีใครสามารถทำอะไรกับมันได้

มัลแวร์สองตัวที่ใช้เทคนิคนี้คือ:

  • สตุกซ์เน็ต: มัลแวร์นี้ใช้ใบรับรองดิจิทัลสองใบจาก JMicron และ Realtek เพื่อซ่อนเป็นไดรเวอร์และแม้กระทั่งโจมตี (และทำลายโดยใช้คอมพิวเตอร์) โรงไฟฟ้านิวเคลียร์
  • เปลวไฟ: สปายแวร์นี้ใช้ประโยชน์จากข้อบกพร่องในการเข้ารหัสเพื่อสร้างใบรับรองของตัวเอง เป้าหมายของเขาคือการสอดแนมเอกสาร ไม่ใช่เพื่อทำอันตราย

นอกจากนี้ ในปี 2018 กลุ่มแฮกเกอร์ยังสามารถเผยแพร่การอัปเดตสำหรับ อัสซุส คอมพิวเตอร์ที่ใช้ใบรับรองดิจิทัลและติดมัลแวร์กว่าครึ่งล้านเครื่องในเวลาไม่กี่วินาที โชคดีที่เป็นการโจมตีแบบกำหนดเป้าหมายที่พยายามแพร่ระบาดในคอมพิวเตอร์เฉพาะ 600 เครื่อง และสุดท้ายผลกระทบก็น้อยมาก

ฉันจะป้องกันตัวเองจากภัยคุกคามเหล่านี้ได้อย่างไร

แม้ว่าวิธีนี้จะเป็นเทคนิคที่อันตรายมาก (สำหรับผู้ใช้โดยเฉพาะ) แต่โชคดีที่ยังไม่มีการใช้กันอย่างแพร่หลาย การได้รับใบรับรองที่ถูกต้องนั้นซับซ้อนขึ้นเรื่อยๆ เนื่องจากบริษัทต่างๆ ได้รับการคุ้มครองที่ดีขึ้นเรื่อยๆ และมีราคาแพงกว่า เนื่องจากมีเพียงไม่กี่แห่งที่มีมูลค่าสูงในตลาดมืด นอกจากนี้ ความถูกต้องของใบรับรอง เมื่อใช้ในการลงนามในภัยคุกคามแล้ว มีข้อ จำกัด อย่างมาก ดังนั้น มัลแวร์เฉพาะเจาะจงมากเท่านั้น ที่ใช้เพื่อวัตถุประสงค์เฉพาะอย่างยิ่ง คือมัลแวร์ที่ใช้เทคนิคนี้

เพื่อป้องกันตนเองเราต้องปฏิบัติตามปกติ และที่สำคัญที่สุดคือ นอกเหนือไปจากสามัญสำนึกแล้ว เรายังทำให้แน่ใจว่า ปรับปรุง Windows และโปรแกรมป้องกันไวรัสให้ทันสมัยอยู่เสมอ . วิธีนี้ทำให้เรามีบัญชีดำที่มีใบรับรองที่ถูกบุกรุก และหากมัลแวร์ที่ลงชื่อกับพวกเขามาถึงพีซีของเรา มัลแวร์นั้นจะไม่สามารถแพร่เชื้อให้เราได้